_________
|A |
| _____ |
| |B | |
| |____| |
|________|
用户在基于django的站点B上进行了身份验证。
网站A尝试在iframe中显示网站B.
目前,站点B将始终以这种方式显示用户。我认为这是django的一些安全功能。如何在没有用户注销的情况下简单地让我的网站脱离框架?
编辑:经过多次测试后,似乎只有当网站A也是一个django网站时才会发生。
答案 0 :(得分:2)
我不认为这是Django的安全功能。在Django中唯一喜欢它的是clickjack保护,但是它仍然只在dev版本中,并且不能像这样工作。它实际上使得网站在现代浏览器的框架中根本没有加载。参见:
https://docs.djangoproject.com/en/dev/ref/clickjacking/
您确定项目中没有实现此行为的内容吗?
基于编辑的更新
这更有意义。这是因为cookie和会话互相覆盖。仅仅是继承父帧的未登录状态就不是“将用户记录下来”。
答案 1 :(得分:2)
使用settings.py中的SESSION_COOKIE_NAME属性更改用于身份验证的Cookie,用于站点A或站点B.